我正在使用令牌样式身份验证过程。在客户端获得令牌后,它将设置在客户端的cookie(用于Web)或客户端请求的授权头(用于移动设备)中。但是,为了获得有效的令牌,客户端必须首先使用有效的用户名/密码组合“登录”。我的问题是:
通过在授权标头中发送用户名/密码组合与请求的JSON主体中的参数(假设我使用HTTPS),是否有任何增加的安全性?
我只需要为每个会话“一次”发送用户名/密码组合以获取令牌。通过“基本认证”风格来获取任何东西吗?
答案 0 :(得分:4)
在Authorization标头与JSON正文中发送凭据时没有额外的安全性。使用Authorization标头的优点是您可以利用标准化的HTTP语义,而无需准确记录客户端应该执行的操作。您只需将它们指向RFC即可。
如果您担心真的是RESTful,我会说使用Authorization标题而不是滚动您自己的方法是必须的。